Bundesamt für Energie will die Cybersicherheit verbessern

6. September 2022, 09:26
  • security
  • Kritische Infrastruktur
  • bfe
  • regulierung
image
Hochspannungsleitungen bei Mönchaltorf. Foto: Jan Huber / Unsplash

Das BFE verstärkt sich personell, um die nationale Cyberstrategie umzusetzen. Doch es ist fraglich, wie gut die Massnahmen im fragmentierten Strommarkt greifen können.

Das Bundesamt für Energie (BFE) will seine Cyberkompetenzen verbessern. Es sucht derzeit eine Fachperson für Risikomanagement und Cyberrisiken, die helfen soll, die nationale Cyberstrategie umzusetzen und IT-Risiken in der Energiebranche auszumachen. Damit reagiert man beim BFE auf drohende Gefahren und die mangelnde Sicherheit in der kritischen Infrastruktur.
Im letzten Sommer hatte das Bundesamt eine Studie zur Cybersicherheit in der Stromversorgung durchführen lassen. Die Befunde der Befragung von Stromproduzenten, Netzbetreibern und Messstellen war katastrophal. Die 124 Unternehmen, die an der Umfrage teilgenommen hatten, waren miserabel auf Angriffe vorbereitet. Bezeichnend ist, dass nicht mal jedes Fünfte der 750 befragten Unternehmen überhaupt auf die dringend notwendige Umfrage reagierte.
image
Die Schweiz: Ein roter Fleck in Europa. Grafik: BFE
Viele in der Schweiz erst diskutierte Massnahmen seien in der EU längst umgesetzt, hiess es nach der Umfrage seitens des Bundes. Das Bundesamt für Energie will nun auch Mindeststandards im Energiebereich einführen, inklusive Gesetzesanpassungen, wie Cyberspezialist Stéphane Henry auf Anfrage erklärt. Der IT-Ingenieur bekleidet beim BFE seit 3 Jahren die einzige Stelle, die der Cybersicherheit gewidmet ist. Seine Position soll mit der aktuellen Ausschreibung für 3 Jahre verstärkt werden.

Prüfstelle und Meldepflicht

Die Schweiz muss aufgrund ihrer starken Integration im europäischen Strommarkt künftig schon aus Gründen der Compliance bestimmte Regeln einhalten. Das soll nun in die Wege geleitet werden. Henry erklärt: "Die Umsetzung der vom BFE vorgeschlagenen Massnahmen zur Verbesserung der Cybersicherheit im Energiebereich erfordert aus heutiger Sicht eine Aufstockung der Ressourcen über 3 Jahre." Die gesuchte Fachperson wird mit den Dachorganisationen des Energiebereichs, den Versorgern und anderen Bundesstellen wie dem NCSC zusammenarbeiten.
Die Schweiz hinkt Europa hinterher. Die Minimalstandards in der Schweiz sind fragmentiert und müssen vom Stromsektor aus verschiedenen Quellen wie den IKT-Minimalstandards des Bundesamts für Wirtschaftliche Landesversorgung (BWL) und dem "Handbuch Grundschutz für Operational Technology" des Branchenverbands Schweizer Elektrizitätswirtschaft (VSE) zusammengekratzt werden. Eine konsolidierte und verpflichtende Regulation fehlt, dies will der Bund mit der nationalen Strategie zum Schutz vor Cyber-Risiken (NCS) ändern.
Es gibt aber noch mehr zu tun: So soll eine Prüfstelle geschaffen werden. Diskutiert wird derzeit zudem über Meldepflichten für Cybervorfälle in der Kritischen Infrastruktur, eine davon wird von einer Arbeitsgruppe beim BFE erarbeitet. Schliesslich soll auch der regelmässige Austausch über spezifische Cyberbedrohungen im Energiebereich gefördert werden.

Sind Minimalstandards umsetzbar?

Ob die Massnahmen fruchten können, ist fraglich. In der Schweiz gibt es rund 600 Elektrizitätswerke, viele davon dürften nicht fähig sein, einen Minimalstandard für Cybersecurity in Eigenverantwortung und mit verhältnismässigem Aufwand umzusetzen. Dies befürchtete Martin Leuthold Leiter des Geschäftsbereichs Daten, Sicherheit und Netzwerk bei der Stiftung Switch, in einer Kolumne auf inside-it.ch.
Und einfacher dürfte die Lage auch nicht werden. Im Rahmen der Stromnetzstrategie sind Smart-Grid-Projekte vorgesehen. Diese bieten grosses Potential, etwa in der Fehlerlokalisierung, der Analyse der Energieübertragung oder der intelligenten Verteilung des Stroms, aber sie machen die Netze auch angreifbarer. Nicht nur werden diese komplexer, sie bieten mit den eingebauten ICT-Komponenten auch zusätzliche Angriffsfläche.
Auf die Frage zu Gegenmassnahmen bleibt Henry vage: Es seien verschiedene Anstrengungen im Gange, um die Sicherheit zu erhöhen. Diese sollen Komponenten, eine mögliche Zertifizierung, notwendige Audits, Supply Chain und Betrieb betreffen, so der Cyberspezialist des BFE. In den USA hat das National Institute of Standards and Technology (Nist) bereits 2014 einen Katalog für die Cybersicherheit von Smart-Grid-Systemen veröffentlicht. Laut der Roadmap für die Smart-Grid-Umsetzung stützt sich die Schweiz darauf ab.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022